Rot-Grün will Telekommunikation lückenlos überwachen

Der Alptraum ist wieder da: Auch der neue Entwurf der Telekommunikations-Überwachungsverordnung hat die Netzbürger im Visier

Fast zwei Jahre lang schlummerte sie in einem Referentenbüro des Bundeswirtschaftsministeriums - jetzt taucht sie wieder auf: die Telekommunikations-Überwachungsverordnung (TKÜV). Mit ihr plant die Bundesregierung, die letzten Lücken bei der Überwachung der Telekommunikation zu schließen und auch den Email-Verkehr der umfassenden Kontrolle der Strafverfolger zu unterwerfen. Rot-grüne Aspekte sucht man in der jüngsten, auf einen Entwurf der konservativ-liberalen Regierung zurückgehenden Fassung vergeblich. Allein die Betreiber von Nebenstellenanlagen und Corporate Networks sollen von der Verpflichtung ausgenommen werden, teure Überwachungseinrichtungen vorhalten zu müssen.

Deutschland nimmt schon seit Jahren eine Spitzenposition beim Abhören ein (Deutschland bleibt auch unter Rot-Grün »Weltmeister im Abhören«). Allein zwischen 1998 und 1999 sei die Zahl der richterlich angeordneten Telefonüberwachungen von 9800 auf 12.600 gestiegen, beklagte sich im Dezember der Bundesbeauftragte für den Datenschutz, Joachim Jacob. Geht es nach der Bundesregierung, wird der große Lauschangriff bald noch sehr viel einfacher und umfassender möglich sein.

Überwachungstechnik, die (Strafverfolger) begeistert, soll bald bei Telekommunikationsanbietern aller Art Einzug halten, die ihre Dienste der Allgemeinheit anbieten. Daran hält auch der jüngste Entwurf für eine "Verordnung über die technische und organisatorische Umsetzung von Maßnahmen zur Überwachung der Telekommunikation" fest, der Telepolis vorliegt und in den nächsten Tagen auf der Homepage des Bundeswirtschaftsministeriums (BMWi) veröffentlicht werden soll. Unter Telekommunikation fassen die Autoren auch den E-Mail-Verkehr. Internetprovider müssten bei der Verabschiedung des Entwurfs durch das Kabinett daher in Zukunft genauso wie Telcos Lauscheinrichtungen installieren und auf Abruf Verbindungsdaten und die Mailkommunikation an die "Bedarfsträger" übermitteln.

Grundsätzlich sollen alle Betreiber von Telekommunikationsanlagen, die ihre Dienste der Öffentlichkeit anbieten, zur Aufzeichnung und Weiterleitung der Kommunikationsdaten an Strafverfolger verpflichtet werden. Ob es sich um Sprach- oder Datenübertragungen handelt, ob der Abzuhörende ein Handy oder einen ISDN-Anschluss nutzt, spielt dabei keine Rolle. Die entsprechenden technischen Vorkehrungen müssen die Telekommunikationsanbieter auf eigene Rechnung anschaffen. Vor der Inbetriebnahme ihrer Anlagen ist eine Abnahme der Überwachungsausrüstung durch die Regulierungsbehörde für Telekommunikation und Post (RegTP) einzuholen. Sonst drohen Geldbußen bis 20.000 Mark.

Diese Prinzipien sind bereits im § 88 des Telekommunikationsgesetzes (TKG) angelegt, an dessen Überarbeitung sich in der rot-grünen Koalition momentan Niemand heranwagt. In der vom BMWi neu ausgearbeiteten Telekommunikations-Überwachungsverordnung (TKÜV) geht es daher "nur" um ihre Umsetzung. Klargestellt wird, dass ein Anbieter "die zu überwachende Telekommunikation vollständig zu erfassen" und die Mitschnitte an "berechtigte Stellen" - Polizei, Justizverwaltungen, Zollkriminalamt, Bundeskriminalamt und Verfassungsschutz - weiterzugeben hat. Der Zeitraum und der Umfang der Bespitzelung wird in der Anordnung festgelegt, die für den Grundrechtseingriff - um nichts Anderes handelt es sich bei einer Überwachung privater Kommunikation angesichts des "Fernmeldegeheimnisses" - erforderlich ist.

Als Kennungen sollen Rufnummern, Email-Adressen und Kreditkarten-Nummern dienen

Ob die Anforderung den formalen gesetzlichen Bestimmungen entspricht, muss der zum Abhören Verpflichtete dem Verordnungsentwurf entsprechend selbst prüfen. Findet er keine Fehler, ist sie "unmittelbar" umzusetzen. Die Abhörspezialisten gehen davon aus, dass "der technische und betriebliche Vorgang der Einrichtung einer angeordneten Überwachungsmaßnahme erfahrungsgemäß im Regelfall innerhalb von zehn Minuten abgeschlossen" sein kann. Dies geht aus der Begründung zu dem Papier hervor. Außerhalb der üblichen Geschäftszeiten gilt eine Frist von sechs Stunden bis zum Start des Lauschangriffs. Sie kann in dringenden Fällen verkürzt werden. Dann müssen die "Auftraggeber" aber im Bedarfsfall beim Antransport des benötigten Personals behilflich sein.

Die Liste der Daten, die ein Telekommunikationsanbieter im Ernstfall übermitteln soll, füllt über zwei Seiten in dem Papier. Angefordert werden können neben reinen Verbindungsdaten die Inhalte jeder Telekommunikation, die von einer bestimmten Kennung herrührt oder diese zum Ziel hat. Als Kenngrößen können beispielsweise Rufnummern oder auch Email-Adressen angegeben werden, wie in der Begründung zur TKÜV betont wird. Bei der Datenkommunikation, die vom Überwachten abgeht, soll sogar seine Kreditkarten-Nummer als Identifikationsmerkmal verwendet werden dürfen. Eine Forderung, die sich von den alten Enfopol-Überwachungsplänen inspiriert zeigt.

Um die Telekommunikation lückenlos zu erfassen, wollen die Strafverfolger auch an die Mailboxen von Mobiltelefonierern oder an Steuerdaten ran, die etwa bei ISDN-Verbindungen in unterschiedlichen Kanälen ausgetauscht werden. Außerdem legen sie Wert darauf, Unterstützung bei der "Interpretation von Bits" in ISDN-Netzen zu erhalten. Die Anlagenbetreiber müssen also klarstellen, ob es sich um Sprachtelefonie, Daten- oder Faxkommunikation handelt.

Sollten die in die Pflicht Genommenen die Telekommunikation netzseitig verschlüsseln, wollen die "berechtigten Stellen" entweder die Daten im Klartext oder die Nachschlüssel. Weitgehend machtlos sind die Schnüffler allerdings, wenn die Nutzer selbst ihre Emails mit Hilfe von kryptographischen Programmen wie PGP oder GnuPG vor dem Zugriff Dritter schützen. Doch die Zahl der Surfer, die ihre private Kommunikation regelmäßig verschlüsseln, ist nach wie vor gering.

Alter Hut mit neuer Feder

Die neue Fassung ist bereits der dritte Entwurf für eine TKÜV. Den ersten legte die konservativ-liberale Regierungskoalition im Frühjahr 1998 vor. Er wurde schon im Sommer desselben Jahres nach heftigen Protesten von Wirtschaftsverbänden und Datenschützern wieder auf Eis gelegt (Überwachungspläne auf Eis gelegt). Ein im April 1999 vorgelegtes "Eckwertepapier" der rot-grünen Regierung (Der Internetverkehr muss grundsätzlich überwacht werden) brachte wenig Änderungen und verschwand genauso rasch wieder in den Schubladen.

Seitdem brüteten die vom ehemaligen Post- ins Wirtschaftsministerium übergesiedelten Abhörspezialisten über den juristischen und technischen Schwierigkeiten rund um die Lauschverordnung. "Die fangen schon bei der Frage an, welche Kommunikation dem TKG zuzuordnen ist und was unter die spezifischen fürs Internet geltenden Gesetze fällt", erklärt Katrin Drumm, eine auf Überwachungsfragen spezialisierte Berliner Rechtsanwältin.

Zu umschiffen versuchen die Beamten dieses Mal die rechtlichen Klippen, indem sie mehr Ausnahmeregeln gestatten. So brauchen Anbieter keine Überwachungstechniken vorhalten, wenn ihre Anlagen ausschließlich der Verteilung oder dem Abruf von Informationen dienen. Laufen auf einem Server etwa nur an die Öffentlichkeit gerichtete Webangebote oder Chat-Foren, in die sich Strafverfolger eh einklinken können, müssen keine Abhörschnittstellen nachgerüstet werden. Dasselbe gilt für Hochgeschwindigkeitsnetze mit Datenübertragungen über 2 Megabit pro Sekunde. Anscheinend fürchten sich die Strafverfolger hier vor undurchschaubaren Datenbergen. Betreibern von Telekommunikationsanlagen, die nicht mehr als 2000 Endnutzer versorgen, soll zudem die Möglichkeit offen stehen, sich einen "Gerätepark" für den Lauschangriff mit mehreren Verpflichteten zu teilen.

Aufatmen können dem neuen Entwurf zufolge Betreiber von Nebenstellenanlagen, unternehmensinterner Telekommunikationsanlagen und Corporate Networks. Ihre Daten sollen zwar grundsätzlich anzapfbar bleiben, doch müssen sie nicht in Vorleistung treten. Die Kosten für eine Erstinstallation der Überwachungstechnik hatten die Informatiker Marit und Kristian Köhntopp in der c't bereits 1998 mit 15.000 Mark angegeben - ohne Personalkosten und laufende Ausgaben.

Das BMWi hält die TKÜV für "kostendämpfend"

Zahlreiche Internetprovider, die bisher keine entsprechenden Schnittstellen angeschafft haben, müssen diese Ausgaben nun einplanen. Die Konsolidierung auf dem Providermarkt dürfte damit weiter voranschreiten: In Holland, wo die Zugangsanbieter bereits bis zum Frühjahr zur Anschaffung von Überwachungsgeräten gezwungen sind, rechnet der dortige Branchenverband bereits mit dem Konkurs eines Drittels der Provider infolge der hohen Abhörkosten (Abhörverpflichtungen bringen holländische Internetprovider in Schwierigkeiten).

Michael Rotert, Vorsitzender des Verbands der deutschen Internet-Wirtschaft Eco und Mitglied zahlreicher internationaler Providerverbände, geht dagegen davon aus, dass die anfallenden "erheblichen Kosten" an die Verbraucher weitergegeben werden und zu höheren Preisen fürs Surfen führen (Cybercrime-Bekämpfung verteuert das Surfen).

In Juristenkreisen ist angesichts dieser Plattmachermethoden sehr umstritten, ob die TKÜV überhaupt verfassungs- und verhältnismäßig ist. So gibt es nach wie vor nicht einmal öffentlich verfügbaren Studien über die Wirksamkeit der bisher durchgeführten Überwachungsmaßnahmen. Der FDP-Rechtsexperte Jörg Essen wunderte sich außerdem jüngst darüber, dass der Anstieg der Telefonbespitzelungen mit einer rückläufigen Kriminalitätsentwicklung überein fällt. Eigentlich hatte Essen erwartet, dass die Telefonüberwachung dann die gleiche Tendenz nach unten zeige.

Wenigstens gegen die Kostendebatte fühlen sich die Abhörfreaks im BMWi dieses Mal aber gerüstet. Zumindest behaupten sie in der Begründung zum neuen Entwurf schlicht:

"Die TKÜV als solche verursacht grundsätzlich keine zusätzlichen Kosten, sie wirkt sich im Gegenteil infolge der damit bereitgestellten Vorgaben standardisierenden Charakters und der Einschränkung des Kreises der Betreiber, die zur Gestaltung und Vorhaltung entsprechender technischer Einrichtungen verpflichtet sind, insgesamt kostendämpfend aus."

Die Beamten versuchen diese überraschende These mit der Vermutung zu unterfüttern, dass das Paket "technische Einrichtungen zur Überwachung der Telekommunikation" bald zum standardmäßigen Angebot einer Telekommunikationsanlage gehöre. Dadurch würden die Entwicklungskosten für die gesetzlich erforderliche Überwachungstechnik sinken und auf alle Netzbetreiber aufgeteilt.

Die deutsche Carnivore-Verordnung spaltet selbst die Gemüter im Wirtschaftsministerium

Wie die Geräte zum Ausspionieren der Nutzer konkret beschaffen sein müssen, verschweigen die Autoren des Entwurfs allerdings. Da mehrere Bedarfsträger gleichzeitig auf die überwachte Kommunikation zurückgreifen können sollen, seien eine "Vielzahl sehr technisch geprägter Detailregelungen" zu beachten. Genauere Hinweise würden in einer gesonderten Technischen Richtlinie des Bundesministeriums für Wirtschaft und Technologie bekannt gegeben.

Mit der bewussten Vagheit geht es dem BMWi vermutlich darum, ein PR-Desaster wie im Fall des amerikanischen Spitzelsystems Carnivore (Carnivore im FBI-Test) zu vermeiden. Das FBI und das ihm übergeordnete US-Justizministerium propagieren das den Netzverkehr überwachende Filterwerkzeug als "maßgeschneidertes" Abhörsystem. Bürgerrechtsgruppen und Parlamentarier warnen dagegen davor, dass mit dem "Fleischfresser" eine Black Box mit immensen Missbrauchsmöglichkeiten bei Providern installiert wird. Die lautstarke Kritik hat das FBI nun dazu veranlasst, zumindest den bestialischen Namen des umstrittenen Tools in das neutral klingende Akronym DCS1000 ("Data Collection System") umzuwandeln.

Ohne das Kind überhaupt bei einem Namen zu nennen, drängt die Bundesregierung mit der TKÜV durchaus auf den Einbau von Carnivore-ähnlichen Techniken in TK-Anlagen. Vorgegeben werden in Europa die entsprechenden Schnittstellenregelungen durch das European Telecommunications Standards Institute (ETSI). Das Gremium hat bereits 1999 Abhörstandards erarbeitet, die den Zugriff auf Telefonate und den Internetverkehr - unter bestimmten Umständen sogar ohne das Wissen der TK-Betreiber - erlauben. Datenschutzexperten wie der Dresdener Informatikprofessor Andreas Pfitzmann warnen allerdings davor, dass jegliche Überwachungsschnittstellen bevorzugte Angriffspunkte für Kriminelle und Sicherheitsschwachstellen bilden könnten (Vom gläsernen Bürger zum gläsernen Staat?).

Auch im Bundeswirtschaftsministerium, das im Web mit einer Informations-Site für Sicherheit im Internet wirbt, sind daher längst nicht alle Referate glücklich mit dem neuen TKÜV-Entwurf. Denn während die alten "Postler" Abhörmaßnahmen vor allem unter einem technischen Aspekt sehen, hat sich in anderen Abteilungen die Erkenntnis durchgesetzt, dass eine zu starke Beschneidung der Freiheitsrechte der Netzbürger und deren pauschale Kriminalisierung nicht gerade das Vertrauen in E-Commerce und E-Government stärkt. Anders ließe sich kaum erklären, warum das BMWi auch die anonyme Benutzung des Internet in einem gerade gestarteten Projekt (Bundeswirtschaftsministerium fördert Anonymisierungsdienst) finanziell unterstützt.

Privacy oder Überwachungsstaat - Rot-Grün kann sich nicht entscheiden

Unklar bleibt angesichts der geplanten Ausweitung der Überwachungsbefugnisse auch, wie die TKÜV mit der geplanten Novellierung des Bundesdatenschutzgesetzes (Reform des Datenschutzes soll anonymen Netzzugang fördern) zusammenspielen soll. Darin soll dem Selbstschutz der Nutzer durch "Privacy Enhancing Technologies" mehr Gewicht zukommen.

Ein ganz anderes Bild der rot-grünen Datenschutzpolitik ergibt sich nämlich, wenn man den neuen TKÜV-Entwurf mit der im Herbst beschlossenen Telekommunikationsdatenschutzverordnung (TDSV) gemeinsam betrachtet. In dem Anhang zum TKG werden Anbieter verpflichtet (Telefonbenutzer und private Surfer unter pauschalem Kriminalitätsverdacht), sämtliche Verbindungsdaten zum Zweck der Verbrechensbekämpfung ein halbes Jahr lang aufzubewahren.

Die Landesdatenschützer kritisierten damals, dass die Bestimmung "nur als vorsorgliche Datensammlung für eventuell in der Zukunft stattfindende Zugriffe der Sicherheitsbehörden dient". In eine ähnliche Richtung zeigt auch die von Rot-Grün gebilligte Erweiterung der Befugnisse des Bundesnachrichtendienstes (Mit dem Staubsauger durch den Telekommunikationsverkehr).